Не срабатывает входящий Acl Cisco

@CTOPMbI4 · Регистрация: 07.05.2015

Студворк — интернет-сервис помощи студентам

Доброго времени суток. Есть простая схема.
Проблема в том что не срабатывают правила ACL на реальной железке
То есть трафик проходит, по счетчику не видно что ACL срабатывает.
Причем в эмуляторе Paket Tracert все работает без проблем.
Вопрос что может влиять на то что правила не срабатывают? или может я чего то не понимаю.
Железка Catalyst 3750X
Основное что включено в Конфиге. Если нужно что то еще подробнее в конфиге скину.

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
ip routing
interface Vlan1
description NET1
ip address 192.168.1.4 255.255.255.240
ip access-group NET1_in in
interface Vlan2
description NET2
ip address 192.168.1.18 255.255.255.240
ip access-group NET2_in in
ip access-list extended NET1_in
permit ip 192.168.1.0 0.0.0.15 192.168.1.0 0.0.0.15
permit ip 192.168.1.0 0.0.0.15 192.168.1.16 0.0.0.15
ip access-list extended NET2_in
permit ip 192.168.1.16 0.0.0.15 192.168.1.16 0.0.0.15
permit ip 192.168.1.16 0.0.0.15 192.168.1.0 0.0.0.15

При пинге от 192.168.1.17 до 192.168.1.1 icmp проходят но по счетчику не видно что оно срабатывает.
Так же и от 192.168.1.1 до 192.168.1.17

Схема

@insect_87 · 29.11.2016, 08:15

1) лучше вмсето native vlan использовать, например vlan 3
2) конкретно что надо сделать? кому что разрешить? кому запретить?

@xeonz · 29.11.2016, 09:05

Сообщение от CTOPMbI4

При пинге от 192.168.1.17 до 192.168.1.1 icmp проходят но по счетчику не видно что оно срабатывает.

А вы повесьте запрет. У меня сложилось впечатление, что это просто проблема счетчика.

@CTOPMbI4 · 29.11.2016, 10:31 **[ТС]**

1. По поводу native vlan можно подробнее? у меня все интерфейсы в своих вланах. vlan1 как интерфейс shutdown. и не используется. Портов в Trunk нет.
Реально там другие вланы то есть за место 1й на рисунке это vlan3, за место 2й это vlan4 и т.д. чисто для упростить схему нарисовал. Суть то не меняет.

2. Нужно непосредственно на интерфейсе куда подключены устройства сделать разрешающие правила
к примеру ПК0 чтобы имел доступ к ПК1 и соответственно ПК1 имел доступ к ПК0. Остальное запрещено.
Просто мне не понятно то ли правила вообще не работают то ли просто счетчики почему то не считает. хотя это навряд ли такое может быть.
Порты в access

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
interface GigabitEthernet1/0/1
 description NET1
 switchport access vlan 4
 switchport mode access
 flowcontrol receive desired
interface GigabitEthernet1/0/2
 description NET2
 switchport access vlan 3
 switchport mode access
 flowcontrol receive desired
interface Vlan1
 no ip address
 shutdown

Добавлено через 21 минуту
Запрет ниже повесил. счетчик не растет.

Добавлено через 49 минут
Комрады нет вариантов почему не срабатывает?

@corlovito · 29.11.2016, 11:43

нужно список доступа сконфигурировать с логированием, это для того чтобы убедиться что список доступа работает, а счетчик в данном случае не будет расти
https://supportforums.cisco.co... l-37503560

@CTOPMbI4 · 29.11.2016, 14:33 **[ТС]**

Хорошо проверю как буду на обьекте. Еще вопрос может как то влиять включенный по default Proxy ARP?

@corlovito · 29.11.2016, 14:47

Сообщение от CTOPMbI4

может как то влиять включенный по default Proxy ARP

не думаю, он впринципе на L2 работает

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	29.11.2016, 08:15
	1) лучше вмсето native vlan использовать, например vlan 3 2) конкретно что надо сделать? кому что разрешить? кому запретить? 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,888
	29.11.2016, 11:43
	нужно список доступа сконфигурировать с логированием, это для того чтобы убедиться что список доступа работает, а счетчик в данном случае не будет расти https://supportforums.cisco.co... l-37503560 0

@CTOPMbI4 0 / 0 / 0 Регистрация: 07.05.2015 Сообщений: 5
	29.11.2016, 14:33 [ТС]
	Хорошо проверю как буду на обьекте. Еще вопрос может как то влиять включенный по default Proxy ARP? 0